1 – Qu’est-ce que la directive NIS2 ?
La Directive NIS 2 (Network and Information Systems Directive) a été adoptée par le Parlement Européen le 10 novembre 2022. La date butoir d’application est fixée au 17 octobre 2024.
Cette réglementation permet d’encadrer les entreprises et de les aider à se protéger contre les cybermenaces. Elle permet d’assurer la résilience de leur système d’information et de garantir leur mission de service public auprès des populations et entreprises.
La directive NIS 2 est le prolongement de la directive NIS adoptée en juillet 2016 puis transposée en France en 2018. Conçue comme un bouclier législatif au niveau Européen, cette directive dans sa première version a eu pour but de définir un niveau d’exigence commun et relatif à la « sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique » (Décret n° 2018-384 du 23 mai 2018) dont l’interruption pourrait impacter significativement le fonctionnement de l’économie ou de la société. C’est au travers de cette transposition nationale que le statut d’opérateur de services essentiels (OSE) vient compléter le statut d’opérateur d’importance vital (OIV) établi par la loi de programmation militaire de 2013.
Dans le but de renforcer cette première version et d’étendre le niveau d’exigence à de nouveaux acteurs, la directive NIS 2 a été adoptée le 10 novembre 2022. Elle est en cours de transposition dans les états.
Elle définit de manière plus précise l’obligation de notification aux autorités compétentes en cas d’incident de sécurité. Elle supprime le statut d’OSE pour le remplacer par deux nouvelles typologies d’organisations : les entités essentielles (EE) et les entités importantes (EI). NIS 2 intègre à présent les entreprises de sous-traitance et dans certains cas les collectivités territoriales à la liste des acteurs concernés.
2 – Quelle est la date butoir de mise en application ?
Adoptée le 10 novembre 2022 par le Parlement Européen et publiée au Journal Officiel de l’Union Européenne le 27 décembre 2022, les États membres disposent de 21 mois pour établir la transposition de la réglementation au sein de leur droit national. La date butoir est le 17 octobre 2024.
3 – À quel type d’entreprise et à quels secteurs d’activité s’adresse la NIS2 ?
Aux entreprises de plus de 50 salariés réalisant plus d’un million d’euros de chiffre d’affaires dans les secteurs concernés.
Ces entreprises peuvent être des PME, grandes entreprises ou dans certains cas des collectivités territoriales.
- Les 19 secteurs de NIS 1 sont : La santé, l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, le secteur de l’eau potable, des eaux usées, les infrastructures numériques, les fournisseurs de services numériques, les administrations publiques et l’aérospatiale.
- NIS 2 complète par les secteurs suivants : services postaux et d’expédition, gestion des déchets, fabrication, production et distribution de produits chimiques, industrie, agroalimentaire et les fournisseurs de services numériques.
4 – Pourquoi cette directive est-elle stratégique pour DATA³ ?
Cette directive renforce le caractère proactif que doivent prendre les entreprises en matière de cybersécurité. En donnant un cadre juridique à cette approche, NIS 2 permet de relever le niveau de sécurité et d’organiser la résilience des infrastructures critiques à l’échelle européenne.
Dorénavant, un manque budgétaire, une infrastructure vieillissante ou un manque d’anticipation ne seront plus des excuses face aux pénalités que NIS 2 introduit. La réalité de la menace cyber aujourd’hui est qu’elle est une épée de Damoclès pour toutes entreprises. Seule la maitrise de la protection de ses données permet d’organiser la résilience et la bonne continuité d’activité critique.
5 – Quelle est la différence entre une entreprise dite « entité essentielle » et une entreprise dite « entité importante » ?
Les entreprises essentielles et importantes sont des entreprises faisant partie des 35 secteurs concernés qui ont en charge une infrastructure dont l’arrêt aurait un impact significatif pour l’économie et le fonctionnement du pays. Sauf cas particulier, les ETI et grandes entreprises faisant partie de la liste des opérateurs de services essentiels (OSE) seront catégorisées comme entités essentielles.
« Il est « très probable » que tous les établissements de santé publics comme privés seront concernés par la transposition dans le droit français de la directive européenne NIS (Network and Information Security) 2, a indiqué la coordinatrice sectorielle santé de l’Agence nationale de sécurité de systèmes d’information (Anssi), Laure Duhesme, le 13 juin au congrès de l’Association pour la sécurité des systèmes d’information de santé (Apssis).
Publiée le 27 décembre 2022 au Journal officiel de l’Union européenne, la directive entrera en vigueur au plus tard au second semestre 2024. L’Anssi, en tant que régulateur de NIS pour la France, est chargée de sa transposition.
Elle distingue les « entités essentielles » et les « entités importantes », qui auront des obligations de sécurité informatique différentes selon les cas.
Dans le secteur sanitaire, les établissements ayant plus de 250 salariés seront désignés d’office « entités essentielles », y compris les centres hospitaliers (CH), a indiqué Laure Duhesme.
Interrogée par le président de l’Apssis, Vincent Trély, sur la possibilité que les 3.000 hôpitaux français publics et privés puissent être concernés dès lors qu’ils ont plus de 250 employés, la représentante de l’Anssi a indiqué que c’est « très probable ».
« Il faut que la plupart des hôpitaux se préparent à une désignation potentielle », a-t-elle ajouté.
Source : Article TIC Santé Cybersécurité: tous les hôpitaux potentiellement concernés par la directive NIS 2
6 – A quelles difficultés sont confrontées les entreprises concernées ?
Il existe trois niveaux de difficulté dans l’implémentation des exigences réglementaires de cette directive :
- – manque de ressources internes pour appliquer les mesures de sécurité et s’assurer de leur pleine conformité ;
- – une difficulté de compréhension de la réglementation notamment du fait des délais imposés dans la déclaration des incidents de sécurité auprès des autorités compétentes ;
- – coût élevé des investissements à mettre en œuvre dans des produits de cybersécurité pour se conformer.
7 – Quelles sont les sanctions en cas de non-conformité à la NIS2 ?
Pour les entreprises non-coopérantes ou en faute, la Directive Européenne prévoit des sanctions.
La Directive NIS 2 offre un droit d’injonction aux États membres rencontrant un cas d’incident de sécurité et un refus de collaboration avec les autorités. Ces sanctions peuvent prendre différentes formes telles que des amendes dont le montant peut atteindre 10 millions d’euros du chiffre d’affaires total annuel de l’organisation mais également des sanctions pénales et des mesures de réparation.
Vous êtes une entreprise, un acteur de Santé ? Vous souhaitez être accompagné pour être en conformité avec la NIS2 ? Demandez votre visite sur site afin que l’on vous propose la solution la mieux adaptée à vos besoins. DATA³ datacenter certifié ISO 27001 – 27001 HDS a la solution. Contactez nous.